Поделиться через

Использование Microsoft Sentinel с Брандмауэром веб-приложений Azure

  • Статья

Брандмауэр веб-приложений Azure (WAF) в сочетании с Microsoft Sentinel может обеспечить управление событиями информационной безопасности для ресурсов WAF. Microsoft Sentinel обеспечивает аналитику безопасности с помощью Log Analytics, что позволяет легко разбивать и просматривать данные WAF. С помощью Microsoft Sentinel можно получить доступ к предварительно созданным книгам и изменить их в соответствии с потребностями вашей организации. В книге может отображаться аналитика для WAF в сети доставки содержимого Azure (CDN), WAF в Azure Front Door, а также WAF в Шлюзе приложений для нескольких подписок и рабочих областей.

Категории анализа журналов WAF

Анализ журналов WAF подразделяется на следующие категории:

  • все действия WAF выполнены;
  • 40 самых популярных URI-адресов заблокированных запросов;
  • 50 самых популярных триггеров событий;
  • сообщения за период времени;
  • полные сведения о сообщении;
  • события атаки по сообщениям;
  • события атаки за период времени;
  • фильтр идентификаторов отслеживания;
  • сообщение идентификаторов отслеживания;
  • 10 самых популярных IP-адресов для атак
  • сообщения об атаках IP-адресов.

Примеры книги WAF

В следующих примерах книг WAF показаны образцы данных:

Снимок экрана: фильтр действий WAF.

Снимок экрана: первые 50 событий.

Снимок экрана: события атаки.

Снимок экрана: первые 10 атакующих IP-адресов.

Запуск книги WAF

Книга WAF работает для всех брандмауэров веб-приложения Azure Front Door, Шлюза приложений и сети доставки содержимого. Перед подключением данных из этих ресурсов, на ресурсе нужно включить анализ журналов.

Чтобы включить анализ журналов для каждого ресурса, перейдите к отдельному ресурсу Azure Front Door, Шлюза приложений или сети доставки содержимого:

  1. Выберите Параметры диагностики.

  2. Щелкните команду Добавить параметр диагностики.

  3. На странице "Параметр диагностики"

    1. Введите имя.
    2. Установите флажок Отправить в Log Analytics.
    3. Выберите рабочую область назначения журнала.
    4. Выберите типы журналов, которые необходимо проанализировать:
      1. Шлюз приложений: "ApplicationGatewayAccessLog" и "ApplicationGatewayFirewallLog"
      2. Azure Front Door Standard/Premium: "FrontDoorAccessLog" и "FrontDoorFirewallLog"
      3. Azure Front Door classic: "FrontdoorAccessLog" и "FrontdoorFirewallLog"
      4. Сеть доставки содержимого: "AzureCdnAccessLog"
    5. Выберите Сохранить.

    Параметр диагностики

  4. На домашней странице Azure в строке поиска введите Microsoft Sentinel и выберите ресурс Microsoft Sentinel.

  5. Создайте новую рабочую область или выберите уже активную.

  6. В Microsoft Sentinel в разделе "Управление содержимым" выберите центр контента.

  7. Найдите и выберите решение Azure Брандмауэр веб-приложений.

  8. На панели инструментов в верхней части страницы выберите "Установить или обновить".

  9. В Microsoft Sentinel в левой части в разделе "Конфигурация" выберите соединители данных.

  10. Найдите и выберите Azure Брандмауэр веб-приложений (WAF). В правом нижнем углу выберите страницу Открыть соединитель.

    Снимок экрана: соединитель данных в Microsoft Sentinel.

  11. Следуйте инструкциям в разделе Конфигурация для каждого ресурса брандмауэра веб-приложения, для которого нужно получить аналитические данные журнала, если вы не сделали этого ранее.

  12. После завершения настройки отдельных ресурсов брандмауэра веб-приложения выберите вкладку Следующие шаги. Выберите одну из рекомендуемых книг. В этой книге будут использоваться все аналитические данные журнала, которые были включены ранее. Теперь для ресурсов брандмауэра веб-приложения должна существовать книга брандмауэра веб-приложения.

    Книги WAF

Автоматическое обнаружение и реагирование на угрозы

С помощью журналов WAF Sentinel можно использовать правила аналитики Sentinel для автоматического обнаружения атак безопасности, создания инцидентов безопасности и автоматического реагирования на инциденты безопасности с помощью сборников схем. Дополнительные сведения об использовании сборников схем с правилами автоматизации в Microsoft Sentinel.

Azure WAF также поставляется со встроенными шаблонами правил обнаружения Sentinel для атак SQLi, XSS и Log4J. Эти шаблоны можно найти на вкладке "Аналитика" в разделе "Шаблоны правил" Sentinel. Эти шаблоны можно использовать или определить собственные шаблоны на основе журналов WAF.

Обнаружения WAF

Раздел автоматизации этих правил позволяет автоматически реагировать на инцидент, выполнив сборник схем. Пример такого сборника схем для реагирования на атаки можно найти в репозитории GitHub сетевой безопасности. Эта сборник схем автоматически создает пользовательские правила политики WAF, чтобы заблокировать исходные IP-адреса злоумышленника, как было обнаружено правилами обнаружения аналитики WAF.

Следующие шаги